Мне кажется, тут есть доля лукавства. Например, я уже писал, что нашу компанию тоже пентестили. Да, проникли в корп ЛВС. В одном из городов (компания большая и размазанная по стране, все связаны друг с другом, магистралы, мплс и все такое). При этом на тест давалась куча белых адресов, целые портянки. Ессно сломали там, где сломалось, а в остальных, назовем это - точках потенциального входа - не получилось. Про тот регион, который сломали и так все знали, что там ИТ-шники гондурасы, от него анально-огораживаются, почти как от инета. Вроде очередная звездочка на фюзеляже, не исключение, но подтвержденное правило, а по сути - не совсем. И уж тем более, было бы опрометчиво говорить, что из этой точки входа можно подломить любую АСУТП организации. Многие - возможно, но точно не все
Это я к тому, что "только в одном месте, в регионе, где все знали, что там ИТ-шники неправильные" и вот это вот всё
